FreeBufZeroLogon漏洞(CVE-2020-1472)防御性指南( 二 )
Moloch抓包除了主机层的监控之外 , 我们还可以通过抓包来检测Zerologon攻击 。 这里我选择使用Moloch抓包工具 , 这种检测逻辑同样可以扩展到其他PCAP系统 。 如果我们分析攻击活动中的PCAP , 我们可以看到客户端凭证的数据域会全部设置为0:
本文插图
我们可以使用Moloch中的Hunt功能来查找我们PCAP数据中的十六进制字节 , 这里可以通过“protocols == dcerpc”查询来查看RPC协议流量:
本文插图
我们可以打开Hunt来查看数据 , 这里将显示大量的元数据和会话标签 , 其中包含Hunt名称和Hunt ID , 以及Zerologon攻击的网络活动:
本文插图
总结Zerologon漏洞应该引起广大管理员的高度重视 , 任何受影响的系统都应该尽快修补 。 然而 , 由于补丁并不总是可行的 , 本文旨在使用本机Windows日志、Sysmon和PCAP来提供一些针对该严重漏洞的检测指南 。
本文插图
本文插图
推荐阅读
- 地火|S10被实锤恶性BUG!SN地火名场面有漏洞?网友:这不公平
- 移动支付|移动支付大漏洞来了:手机一丢,倾家荡产!
- 麦田军事观察|又发现新的漏洞,还得撒钱找俄罗斯,印度心里苦!S400还没有到货
- cnBeta|研究人员担心BleedingTooth蓝牙漏洞给Linux系统带来风险
- IT世界|手机丢失后很可能被利用,警惕!移动支付的一大漏洞
- IT世界警惕!移动支付的一大漏洞,手机丢失后很可能被利用
- p2p行业|移动支付的漏洞:手机一丢,“倾家荡产”!
- 人民法院报|委员建议引入“暂停刑罚执行制度”,堵住“纸面服刑”漏洞
- 前瞻网|海底捞:漏洞让票贩子有机可趁,花钱免排队?中消协点名海底捞排队乱象
- 航空视界|刚堵漏洞制氧系统又停摆,俄罗斯雪上加霜,国际空间站传来坏消息